网络丢包分析案例解决方案.docxVIP

网络丢包分析 数据在网络层以数据包的形式进行传输，由于各种原因，数据包在传输过程中总会存在些许损失，我们称之为丢包。 造成丢包的原因有哪些 网络设备的故障 包括硬件方面的和软件方面的故障。硬件故障主要是物理层面的故障如：网卡故障，端口故障等。软件故障主要是在配置方面的问题，如错误的静态路由，主机默认网关配置错误等等。 网络拥塞 通常由于网络带宽过小或网络中存在异常流量时发生，比如ARP攻击，P2P等。 MTU配置不当 在关键设备上MTU设置不当，也会造成网络丢包（以太网：1500字节，IEEE 802.3/802.2 1492字节）。 如何确定网络丢包的存在 通常我们利用PING x.x.x.x -t这个命令来进行测试网络中是否存在丢包 在上图中可以看到，在本机上向192.168.122.2这个不存在的地址进行长时间PING的时候，发送出去的ICMP包都丢失了，丢失率达到100%。即从本机到192.168.122.2这个实际不可达地址的路径上存在丢包。 定位网络丢包的分析步骤 在网络丢包发生的情况下，用户会明显感受到网络速度变慢，这时候网管首先需要做的就是进行PING X.X.X.X –t来进行大致是哪个网段的诊断。在发现确实有丢失率存在的情况下，我们可以利用科来软件进行进一步分析。 在分析之前，我们有必要学习一下前置知识。 TCP协议的特点之一就是保障数据传输的可靠性，即确保数据能够正确完整传输。那么TCP究竟是如何来保障的？可以看到，TCP在传输时，有着传输确认—重传机制，即发送数据一方在传输数据时为每一个分段编制序列号（Sequence Number），接收方会向发送方发送接收到分段数据的确认（Acknowledgment），通过这种方式确认数据是否准确传送，在无法确认某分段数据被准确传送或确认某分段数据没有被准确传送时重新进行传输。 所以，在网络丢包发生的情况下，必定会有TCP数据包重传的出现。 在掌握了前置知识之后，网管就需要针对本公司的网络结构以及丢包可能的原因，部署科来网络分析系统，进行定位分析。 网络设备故障 通过分段捕获的方法，在网络中关键设备的两端，使用科来网络分析系统进行抓包，确定该设备是否丢包，从而准确定位丢包设备。 网络拥塞 在核心交换机上配置镜像，使用科来网络分析系统抓包。 分析关键链路（一般是出口链路）的流量占用情况，查看网络利用率是否过高，每秒数据包是否过多，数据包大小分布是否合理、TCP会话是否正常等。 MTU配置不当 查看网络中关键设备的MTU配置。 在了解了如何定位网络丢包的位置之后，网管需要进一步分析丢包发生的原因，以排除故障。 打开科来网络分析软件以后，我们配置好网络档案，选择分析档案之后，就可以开始分析了。 首先我们可以在图表中添加利用率统计，可以看到，在14:38:05之后，网络利用率突然升高，接近40%。科来推荐利用率不高于15%，当网络利用率超过了30%，就会产生1%的丢包，并且呈几何倍数的增长。这个网络中，利用率高达40%，肯定存在着严重的丢包现象。 了解了有丢包就会有TCP数据包重传之后，网管可以在诊断中，找出TCP数据包重传比较严重的主机。 可以看到3.101.33.77这台主机存在着大量的TCP数据包重传，定位到该主机进行详细分析。 分析其中一个持续时间比较长的TCP会话。对其数据包进行详细分析。 将解码字段设为序列号，通过对比序列号与确认号： 可以发现，其中确实存在着不少的重传,所以存在着丢包现象。由于每一次重传都会有比较长的响应时???，导致了用户感觉网络速度变慢。 在对异常流量等进行分析后，最后得出结论，用户网络带宽过低，导致在高峰期出现丢包现象，推荐用户升级带宽。